Bundesamt für Sicherheit in der Informationstechnik

Umsetzungshinweise zum Baustein OPS.1.2.4 Telearbeit

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Unter Telearbeit wird jede auf die Informations- und Kommunikationstechnik gestützte Tätigkeit verstanden, die ausschließlich oder zeitweise außerhalb der Geschäftsräume und Gebäude des Arbeitgebers verrichtet wird.

Es gibt verschiedene Formen der Telearbeit: Sie kann beispielsweise als heimbasierte Telearbeit in der Wohnung des Mitarbeiters oder auch als mobile Telearbeit von unterwegs erbracht werden. Es ist ebenfalls möglich, dass die Mitarbeiter im Rahmen der On-Site-Telearbeit bei Kunden oder Lieferanten eingesetzt werden und dort mit der Ausstattung des eigenen Arbeitgebers arbeiten. Eine weitere Möglichkeit ist die Telearbeit in sogenannten Telecentern oder auch Satelliten- oder Nachbarschaftsbüros.

Bei der heimbasierten Telearbeit wird zwischen der ausschließlich zu Hause erbrachten Arbeit und der alternierenden Telearbeit unterschieden. Bei der alternierenden Telearbeit arbeiten die Arbeitnehmer wechselweise an ihrem Arbeitsplatz beim Arbeitgeber und am häuslichen Arbeitsplatz.

1.2 Lebenszyklus

Planung und Konzeption

Es sollte ein Konzept für Telearbeit erstellt werden, in dem die Sicherheitsziele, der Schutzbedarf der bei der Telearbeit zu bearbeitenden Informationen sowie die Risiken und Sicherheitsmaßnahmen aufgezeigt werden (siehe OPS.1.2.4.M6 Erstellung eines Sicherheitskonzeptes für Telearbeit).

Sichere Telearbeit setzt organisatorische Regelungen und personelle Maßnahmen voraus. Besonders zu beachten sind die speziellen Verpflichtungen der Telearbeiter und deren Einweisung in die Nutzungsregelungen der Kommunikation. Sie sind unter anderem in OPS.1.2.4.M1 Regelungen für Telearbeit und OPS.1.2.4.M5 Sensibilisierung und Schulung der Telearbeiter beschrieben.

Umsetzung

Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, können die Telearbeitsrechner und andere IT-Systeme installiert werden. Dabei sind folgende Maßnahmen zu beachten:

  • Sicherheit des Telearbeitsrechners: Der Telearbeitsrechner muss so gestaltet sein, dass im unsicheren Einsatzumfeld eine sichere Nutzung möglich ist. Insbesondere sollten nur autorisierte Personen den Telearbeitsrechner offline und online benutzen (siehe OPS.1.2.4.M2 Sicherheitstechnische Anforderungen an den Telearbeitsrechner).
  • Sichere Kommunikation zwischen Telearbeitsrechner und Institution: Da die Kommunikation über öffentliche Netze erfolgt, sind besondere Sicherheitsanforderungen für die Kommunikation zwischen Telearbeitsrechner und Institution zu erfüllen (siehe OPS.1.2.4.M3 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung).

Betrieb

Die Benutzer haben einen wesentlichen Einfluss auf die Sicherheit bei der Telearbeit. Die Telearbeiter müssen daher zur Einhaltung der Sicherheitsvorgaben und für die Nutzung der IT-Systeme geschult werden (siehe OPS.1.2.4.M5 Sensibilisierung und Schulung der Telearbeiter).

Notfallvorsorge

Alle relevanten Daten, die im Rahmen der Telearbeit erstellt oder verändert wurden, müssen gesichert werden (siehe OPS.1.2.4.M4 Datensicherung bei der Telearbeit).

2 Maßnahmen

Im Folgenden sind spezifische Umsetzungshinweise im Bereich "Telearbeit" aufgeführt.

2.1 Basis-Maßnahmen

Die folgenden Maßnahmen sollten vorrangig umgesetzt werden:

OPS.1.2.4.M1 Regelungen für Telearbeit [Vorgesetzte, Personalabteilung]

Institutionen müssen Regelungen für die Telearbeit festlegen. Dabei sind verschiedene arbeitsrechtliche und arbeitsschutzrechtliche Rahmenbedingungen zu beachten. Strittige Punkte sollten entweder durch Betriebsvereinbarungen oder durch zusätzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen zwischen Telearbeiter und Arbeitgeber geklärt werden. In diesen Vereinbarungen sollten beispielsweise folgende Punkte geregelt werden:

  • Freiwilligkeit der Teilnahme an der Telearbeit
  • Mehrarbeit und Zuschläge
  • Aufwendungen für Fahrten zwischen Betrieb / Kunden und häuslicher Wohnung
  • Aufwendungen zum Beispiel für Strom, Heizung und Miete
  • Haftung (bei Diebstahl oder Beschädigung der IT, aber auch bei Arbeitsunfall oder Berufskrankheit)
  • Beendigung der Telearbeit

Die für die Telearbeit im Umgang mit Informationen und der Informations- und Kommunikationstechnik notwendigerweise umzusetzenden Sicherheitsmaßnahmen sollten zusätzlich in einer Sicherheitsrichtlinie zur Telearbeit dokumentiert werden, sofern es sich nicht anbietet, die Inhalte in bereits bestehende Richtlinien der Institution zu integrieren.

Folgende Aspekte sollten beispielsweise in den Regelungen für Telearbeit beachtet werden:

  • Arbeitszeitregelung: Es sollte geregelt sein, wie die Arbeitszeiten auf Tätigkeiten zwischen der Institution und dem Telearbeitslatz verteilt sind. Auch müssen feste Zeiten festgelegt werden, an denen der Mitarbeiter am Telearbeitsplatz erreichbar ist.
  • Reaktionszeiten: Es sollte geregelt werden, in welchen Abständen die Telearbeiter aktuelle Informationen abrufen sollen (zum Beispiel wie häufig E-Mails gelesen werden) und in welchem Zeitraum sie darauf zu reagieren haben.
  • Umgang mit vertraulichen Informationen: Bei der Telearbeit werden vertrauliche Informationen sowohl analog, also zum Beispiel auf Papier, als auch digital bearbeitet. Unabhängig davon, in welcher Form Informationen vorliegen, müssen sie vor unbefugtem Zugriff und anderen Sicherheitsrisiken geschützt werden. Daher ist der komplette Lebensweg vertraulicher Informationen angemessen abzusichern.
  • Arbeitsmittel: Es sollte festgeschrieben werden, welche Arbeitsmittel die Telearbeiter einsetzen dürfen und welche nicht benutzt werden sollten (zum Beispiel nicht freigegebene Software). So kann ein E-Mail-Anschluss zur Verfügung gestellt werden, aber die Nutzung von anderen Internet-Diensten untersagt werden. Weiterhin könnte untersagt werden Datenträgern wie beispielsweise DVDs oder USB-Sticks zu benutzen, sofern der Telearbeitsplatz dies nicht erfordert.
  • Datensicherung: Die Telearbeiter sind zu verpflichten, regelmäßig lokal gespeicherte Daten zu sichern. Zusätzlich sollte vereinbart werden, dass jeweils eine Generation der Datensicherungen in der Institution hinterlegt wird. Falls die Datensicherung über den Fernzugriff zur Institution bereits ausreichend sichergestellt ist und kein erhöhter Schutzbedarf vorliegt, kann von einer lokalen Datensicherung abgesehen werden.
  • Synchronisation von Datenbeständen: Datenbestände, die sowohl in der Institution als auch an Telearbeitsplätzen bearbeitet werden, müssen geeignet synchronisiert werden. Das Vorgehen bei der Synchronisation muss genau geplant werden, damit keine Konflikte entstehen und es zu keinem Datenverlust kommt. Die Konflikte treten z. B. auf, wenn zwei Benutzer den gleichen Datensatz in gespiegelten Datenbeständen geändert haben. Es empfiehlt sich, die Datenbestände mithilfe einer geeigneten Software zu synchronisieren.
  • Datenschutz: Datenschutz: Die Telearbeiter sind darauf zu verpflichten, einschlägige Datenschutzvorschriften einzuhalten.
  • Datenkommunikation: Es muss festgelegt werden, welche Daten auf welchem Weg übertragen werden beziehungsweise welche Daten nicht oder nur verschlüsselt elektronisch übermittelt werden dürfen. Ebenso ist festzulegen, welche Dokumente zwischen Institution und Telearbeitsplatz transportiert werden können und wie diese dabei zu schützen sind.
  • Transport von Dokumenten und Datenträgern: Die Art und Absicherung des Transports von Dokumenten und Datenträgern, zwischen dem Telearbeitsplatz und der Institution, ist zu regeln. Vertrauliche Daten auf digitalen Datenträgern sollten immer nur verschlüsselt transportiert werden.
  • Meldeweg: Die Telearbeiter sind zu verpflichten, sicherheitsrelevante Vorkommnisse unverzüglich an eine im Vorfeld zu bestimmende Stelle in der Institution zu melden. Dafür ist es notwendig, die Telearbeiter entsprechend den geltenden Richtlinien einzuweisen. Hierfür eignet sich zum Beispiel die Richtlinie zum Incident Management.
  • Zutrittsrecht Telearbeitsplatz: Es sollte ein Zutrittsrecht zum Telearbeitsplatz, gegebenenfalls nach vorheriger Anmeldung, vereinbart werden. Wichtig ist das in erster Linie, damit im Vertretungsfall Akten und Daten für den stellvertretenden Mitarbeiter verfügbar sind.
  • Vertretungsregelung: Für jeden Telearbeiter sollte ein Vertreter bestimmt werden, der über die laufenden Aktivitäten informiert sein muss, damit er auch kurzfristig die Vertretung übernehmen kann. Dazu müssen die Arbeitsergebnisse durch die Telearbeiter immer sorgfältig dokumentiert werden. Eventuell sind sporadische oder regelmäßige Treffen zwischen dem Telearbeiter und seinem Vertreter sinnvoll. Ergänzend muss geregelt werden, wie der Vertreter im unerwarteten Vertretungsfall auf die Daten, auf den Telearbeitsrechner oder am Telearbeitsplatz vorhandene Unterlagen zugreifen kann. Dieser Vertretungsfall sollte probeweise durchgespielt und der Test anschließend vom Telearbeiter und seiner Vertretung ausgewertet werden. Dadurch ist es möglich, den Vertretungsprozess stetig zu optimieren.

Die Regelungen für die Telearbeit sind jedem Telearbeiter auszuhändigen. Entsprechende Merkblätter sind regelmäßig zu aktualisieren.

OPS.1.2.4.M2 Sicherheitstechnische Anforderungen an den Telearbeitsrechner [Leiter IT, IT-Betrieb]

Die sicherheitstechnischen Anforderungen an die Telearbeitsrechner richten sich nach dem Schutzbedarf der zu bearbeitenden Daten am Telearbeitsplatz und der Daten, auf die die Telearbeiter über den Kommunikationsrechner der Institution zugreifen können. Je höher der Schutzbedarf, desto mehr Maßnahmen müssen ergriffen werden, um diesen Schutz zu gewährleisten.

Allgemeine Sicherheitsziele für Telearbeitsrechner sind:

  • Telearbeitsrechner dürfen nur von autorisierten Personen benutzt werden. Damit wird sichergestellt, dass nur autorisierte Personen auf Daten und Programme zugreifen können, die auf einem Telearbeitsrechner gespeichert sind. Gleiches gilt für Informationen und Daten, die über den Telearbeitsrechner erreichbar wären (zum Beispiel mittels VPN). Autorisierte Personen sind der Administrator des Telearbeitsrechners und der Telearbeiter nebst seinem Stellvertreter.
  • Telearbeitsrechner dürfen nur für autorisierte Zwecke benutzt werden. Beispielsweise sollte der Benutzer keine ungenehmigten Programme installieren dürfen. Dadurch wird Schäden durch Fehlbedienung und Missbrauch vorgebeugt.
  • Schäden aufgrund eines Diebstahls oder Defektes eines Telearbeitsrechners müssen tolerabel sein. Telearbeitsrechner werden üblicherweise in einer wenig gesicherten Umgebung eingesetzt, sodass ein Diebstahl oder Defekt wahrscheinlicher ist als in der geschützten Betriebsumgebung einer Institution. Darunter kann nicht nur die Verfügbarkeit, sondern auch die Vertraulichkeit der gespeicherten Daten leiden. Um die Schäden bei Diebstählen gering zu halten, sollten die Daten zum Beispiel nur verschlüsselt gespeichert werden. Um Schäden durch Defekte zu begrenzen, eignen sich zum Beispiel regelmäßig durchgeführte Datensicherungen.
  • Telearbeiter sollten wenigstens offensichtliche versuchte oder erfolgte Manipulationen am Telearbeitsrechner erkennen können. Damit wird sichergestellt, dass der Telearbeitsrechner in einem integren Zustand verbleibt, auch wenn Manipulationsversuche nicht ausgeschlossen sind.

Aus dem Schutzbedarf der zu bearbeitenden Daten am Telearbeitsplatz leiten sich die Sicherheitsziele und damit die sicherheitstechnischen Anforderungen an die Telearbeitsrechner ab. Es ist zu dokumentieren, welche der nachfolgend beschriebenen sicherheitsrelevanten Funktionalitäten ein Telearbeitsrechner aufweisen muss und wie diese umgesetzt werden.

Für einen Telearbeitsrechner sind folgende Funktionalitäten sinnvoll:

  • Der Telearbeitsrechner muss über einen Identifizierungs- und Authentisierungsmechanismus verfügen. Insbesondere sind dabei folgende Punkte sicherzustellen:

    • Sicherheitskritische Parameter, wie Passwörter oder Benutzer-Kennung müssen sicher verwaltet werden. Passwörter dürfen nie unverschlüsselt auf dem Telearbeitsrechner gespeichert werden.
    • Das Zugangsverfahren muss definiert auf Fehleingaben reagieren. Erfolgt zum Beispiel dreimal hintereinander eine fehlerhafte Authentisierung, ist der Zugang zum Telearbeitsrechner zu sperren oder es sind die zeitlichen Abstände sukzessiv zu vergrößern, nach denen ein weiterer Zugangsversuch erlaubt wird.
    • Es muss möglich sein, Minimalvorgaben für die sicherheitskritischen Parameter vorzugeben.
    • Nach zeitweiser Inaktivität der Tastatur oder Maus, muss automatisch eine Bildschirmsperre aktiviert werden, die erst nach erneuter Identifikation und Authentisierung deaktiviert wird.

  • Der Telearbeitsrechner muss über eine Zugriffskontrolle verfügen. Insbesondere sind folgende Anforderungen umzusetzen:

    • Der Telearbeitsrechner muss verschiedene Benutzer unterscheiden können. Es muss möglich sein, mindestens zwei getrennte Rollen auf dem Telearbeitsrechner einzurichten, nämlich Administrator und Telearbeiter.
    • Mittels einer differenzierten Rechtestruktur (zum Beispiel lesen, schreiben, ausführen) muss der Zugriff auf Dateien und Programme regelbar sein. Bei mobilen Endgeräten ist eine differenzierte Rechtestruktur nicht immer möglich. Gerade Smartphones und Tablets verfügen häufig über keine derartige Differenzierung. Es sollte daher geprüft werden, ob sich die Geräte für den vorliegenden Schutzbedarf eignen.

  • Telearbeitsrechner sollten über eine Protokollierung verfügen. Es ist sinnvoll, folgende Anforderungen umzusetzen:

    • Der Mindestumfang, den der Telearbeitsrechner protokollieren soll, sollte parametrisierbar sein. Beispielsweise sollten folgende Aktionen inklusive der aufgetretenen Fehlerfälle protokollierbar sein:

      • bei Authentisierung: zum Beispiel Benutzer-Kennung, Datum und Uhrzeit, Ergebnis des Anmeldeversuchs bei der Zugriffskontrolle, Art des Zugriffs, was wurde wie geändert, gelesen, geschrieben
      • Durchführung von Administrator-Tätigkeiten,
      • Auftreten von funktionalen Fehlern.

    • für Unberechtigte darf keine Möglichkeit bestehen, die Protokollierung zu deaktivieren. Die Protokolle selbst dürfen für Unberechtigte weder lesbar noch modifizierbar sein.
    • Die Protokollierung muss übersichtlich, vollständig und korrekt sein.

  • Soll der Telearbeitsrechner über eine Protokollauswertung verfügen, können folgende Anforderungen sinnvoll sein:

    • Eine Auswertefunktion muss nach den bei der Protokollierung geforderten Datenarten unterscheiden können (zum Beispiel Filtern aller unberechtigten Zugriffe auf alle Ressourcen in einem vorgegebenen Zeitraum).
    • Die Auswertefunktion muss auswertbare (lesbare) Berichte erzeugen, sodass keine sicherheitskritischen Aktivitäten übersehen werden.

  • Telearbeitsrechner sollten über Funktionen zur Datensicherung verfügen. Diese sollten unter anderem folgende Anforderungen erfüllen:

    • Die Datensicherung für die Telearbeit sollte den Rahmenbedingungen zur Datensicherung der Institution entsprechen und diese einhalten
    • Das Datensicherungsprogramm muss benutzerfreundlich und schnell arbeiten. Es sollte automatisierbar sein.
    • Es muss konfigurierbar sein, welche Daten wann gesichert werden.
    • Es muss eine Option existieren, um beliebige Datensicherungen wieder einzuspielen.
    • Die Funktion muss ermöglichen, mehrere Generationen zu sichern.
    • Datensicherungen von Zwischenergebnissen aus der laufenden Anwendung sollen möglich sein.

  • Telearbeitsrechner sollten über eine Verschlüsselungskomponente verfügen. Hierfür ist zunächst zu überlegen, welche Funktionalität benötigt wird:

    • die Verschlüsselung ausgewählter Daten (offline) oder
    • automatisch der gesamten Festplatte (online).

    Grundsätzlich sollte die automatische Verschlüsselung aller Datenträger vorgezogen werden, da dies benutzerfreundlicher und effizienter ist. Das setzt voraus, dass ein geeignetes Verschlüsselungsprodukt eingesetzt wird und dass ein Datenverlust bei Fehlfunktion (Stromausfall, Abbruch der Verschlüsselung) systemseitig abgefangen wird. Darüber hinaus sind folgende Anforderungen sinnvoll:

    • Der implementierte Verschlüsselungsalgorithmus sollte den Anforderungen der Institution entsprechen.
    • Das Schlüsselmanagement muss mit der Funktionalität des Telearbeitsrechners harmonieren. Dabei sind insbesondere grundsätzliche Unterschiede der Algorithmen zu berücksichtigen: Symmetrische Verfahren benutzen einen geheim zu haltenden Schlüssel für die Ver- und Entschlüsselung, asymmetrische Verfahren benutzen einen öffentlichen Schlüssel für die Verschlüsselung und einen privaten (geheim zu haltenden) für die Entschlüsselung.
    • Der Telearbeitsrechner muss die sicherheitskritischen Parameter wie Schlüssel sicher verwalten. So dürfen Schlüssel (auch mittlerweile nicht mehr benutzte) nie ungeschützt, das heißt, auslesbar auf dem Telearbeitsrechner abgelegt werden.

  • Soll der Telearbeitsrechner über Mechanismen zur Integritätsprüfung verfügen, sind folgende Anforderungen sinnvoll:

    • Es sollten Verfahren zur Integritätsprüfung eingesetzt werden, die absichtliche Manipulationen am Telearbeitsrechner bzw. an den Daten zuverlässig aufdecken können.
    • Bei der Datenübertragung müssen Mechanismen eingesetzt werden, mit denen absichtliche Manipulationen an den Adressfeldern und den Benutzerdaten erkannt werden können. Daneben darf die bloße Kenntnis der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, um unerkannte Manipulationen an den oben genannten Daten vornehmen zu können.

  • Der Telearbeitsrechner sollte über einen Boot-Schutz verfügen, um zu verhindern, dass unbefugt von Wechseldatenträgern gebootet werden kann.
  • Es sollte möglich sein, die Benutzerumgebung des Telearbeitsrechners einzuschränken. Damit soll der Administrator festlegen können, welche Programme der Telearbeiter ausführen kann, welche Peripheriegeräte nutzbar sind und welche Änderungen der Telearbeiter am System vornehmen darf. Darüber hinaus sollte der Telearbeiter Einstellungen, die für den sicheren Betrieb notwendig sind, nicht unautorisiert ändern und nicht unerlaubt Fremdsoftware aufspielen können.
  • In Abhängigkeit des installierten Betriebssystems und anderer vorhandener Schutzmechanismen des Telearbeitsrechners muss geprüft werden, ob Viren-Schutzprogramme eingesetzt werden sollen. Ist dies der Fall, muss vor dem Einspielen von Daten von auswechselbaren Datenträgern, vor der Weitergabe von Datenträgern beziehungsweise beim Senden und Empfangen von Daten ein Virencheck durchgeführt werden.
  • Wenn der Telearbeitsrechner über Fernwartung (Remote Administration) administriert werden sollte, ist sicherzustellen, dass die Fernadministration nur autorisiert durchgeführt werden kann. Bei der Fernwartung müssen eine Authentisierung des Fernwartungspersonals, die Verschlüsselung der übertragenen Daten und eine Protokollierung der Administrationsvorgänge gewährleistet sein.

Aus den obigen Funktionalitäten sind diejenigen auszuwählen, die aufgrund der Sicherheitsanforderungen an die Telearbeitsrechner benötigt werden und entsprechend dem Schutzbedarf möglich sind. Anhand dieser Funktionalitäten muss dann ein geeignetes Betriebssystem als Plattform ausgewählt werden. Wenn dieses nicht alle benötigten Funktionalitäten unterstützt, müssen dazu Zusatzprodukte eingesetzt werden. Dabei sollten möglichst alle Telearbeitsrechner einer Institution gleich ausgestattet sein, um die Betreuung und Wartung zu erleichtern und gleichartige Systeme als Client-Gruppen zusammenführen zu können. Das Gesamtsystem ist durch die Administratoren so zu konfigurieren, dass maximale Sicherheit erreicht werden kann.

Weitere Anforderungen zu den einzelnen Client-Systemen werden in der Bausteinschicht SYS.2 Desktop-Systeme aufgeführt. Diese sollten entsprechend der eingesetzten Client-Lösung für den Telearbeitsrechner umgesetzt werden.

OPS.1.2.4.M3 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung [Telearbeiter, Leiter IT, IT-Betrieb]

Erfolgt im Rahmen der Telearbeit eine Datenübertragung zwischen einem Telearbeitsrechner und einem Rechner der Institution, werden dabei dienstliche Informationen üblicherweise über öffentliche Kommunikationsnetze übertragen. Da weder die Institution noch die Telearbeiter Einfluss darauf haben, ob die Vertraulichkeit, Integrität und Verfügbarkeit in einem öffentlichen Kommunikationsnetz gewahrt werden, sind zusätzliche Sicherheitsmaßnahmen erforderlich.

Generell muss die Datenübertragung zwischen Telearbeitsrechner und Institution folgende Sicherheitsanforderungen erfüllen:

  • Sicherstellung der Vertraulichkeit der übertragenen Daten: Durch eine ausreichend sichere Verschlüsselung muss erreicht werden, dass auch wenn Angreifer die Kommunikation zwischen Telearbeitsrechner und dem Rechner der Institution abhören, keine Rückschlüsse auf die Inhalte der Daten möglich sind. Zur Sicherstellung der Vertraulichkeit der übertragenen Daten gehört neben einem geeigneten Verschlüsselungsverfahren auch ein angepasstes Schlüsselmanagement mit periodischem Schlüsselwechsel.
  • Sicherstellung der Integrität der übertragenen Daten: Die eingesetzten Übertragungsprotokolle müssen eine zufällige Veränderung übertragener Daten erkennen und beheben. Um absichtliche Manipulationen während der Datenübertragung detektieren zu können, sollten die Daten signiert und/oder verschlüsselt werden.
  • Sicherstellung der Verfügbarkeit der Datenübertragung: Falls zeitliche Verzögerungen bei der Telearbeit nur schwer zu tolerieren sind, sollte ein redundant ausgelegtes öffentliches Kommunikationsnetz als Übertragungsweg ausgewählt werden, sodass ein Ausfall einzelner Verbindungsstrecken nicht den Totalausfall der Kommunikation bedeutet. Auf eine redundante Netzanbindung an den Telearbeitsrechner und die Schnittstelle der Institution kann gegebenenfalls verzichtet werden.
  • Sicherstellung der Authentizität der Daten: Wenn Daten zwischen Telearbeitsrechner und Institution übertragen werden, muss sichergestellt sein, dass die Kommunikation zwischen den richtigen Teilnehmern stattfindet. Das bedeutet sicher zu stellen, dass Daten mit Absender Telearbeitsrechner auch tatsächlich von dort stammen. Ebenso muss der Ursprung von Institutionsdaten zweifelsfrei auf die Institution zurückgeführt werden können.
  • Sicherstellung der Nachvollziehbarkeit der Datenübertragung: Um eine Kommunikation nachvollziehbar zu machen, können Protokollierungsfunktionen eingesetzt werden.
  • Sicherstellung des Datenempfangs: Ist es für die Telearbeit wichtig, dass Daten korrekt empfangen wurden, können Quittungsmechanismen eingesetzt werden, aus denen hervorgeht, ob der Empfänger die Daten korrekt empfangen hat.

OPS.1.2.4.M4 Datensicherung bei der Telearbeit [Telearbeiter, IT-Betrieb]

Bei der Telearbeit können Daten auf verschiedenen IT-Systemen und an verschiedenen Orten verarbeitet werden. Beispielsweise kann die Verarbeitung auf Servern und Clients in der Institution, aber auch auf Clients am Telearbeitsplatz stattfinden. Um die Verfügbarkeit der Daten sicherzustellen, müssen diese regelmäßig gesichert werden.

Eine Datensicherung aller relevanten Daten am Telearbeitsplatz muss generell erfolgen und den allgemeinen Regeln zur Datensicherung der Institution entsprechen. Das Datensicherungskonzept der Institution muss auch die Telearbeitsplätze miteinbeziehen. Generell bieten sich folgende Verfahren zur Datensicherung am Telearbeitsplatz an:

  • Datensicherung auf externen DatenträgernHierfür müssen die Telearbeitsplätze über die notwendige technische Ausstattung verfügen. Dazu gehören neben den erforderlichen externen Datenträgern die notwendige Hard- und Software des Rechners. Außerdem müssen die Telearbeiter geschult sein, um die Datensicherungen selbstständig anfertigen zu können.
  • Datensicherung über NetzDie Sicherung der lokalen Daten kann auch über die Anbindung an das Netz der Institution erfolgen. Vorteilhaft ist hierbei, dass zum einen die Datensicherung nicht von den Telearbeitern selbstständig durchgeführt werden muss und zum anderen die Telearbeiter auch keine Datenträger verwalten müssen. Entscheidend bei der Datensicherung über eine Netzverbindung ist, dass deren Übertragungskapazität für das Volumen der zu sichernden Daten ausreichend ist. Je nach Datensicherungsprogramm besteht die Möglichkeit, nur die Änderungen des Datenbestands seit der letzten Datensicherung zu übertragen (inkrementelle Datensicherung). In vielen Fällen kann hierdurch das zu transportierende Datenvolumen stark reduziert werden. Eine wichtige Anforderung an das Backup-Programm ist, dass unerwartete Verbindungsabbrüche erkannt und ordnungsgemäß behandelt werden.

Bei beiden Verfahren zur Datensicherung ist es wünschenswert, das Volumen der zu sichernden Daten zu minimieren. Neben verlustfreien Kompressionsverfahren, die in viele Datensicherungsprogrammen integriert sind, können auch inkrementelle oder differentielle Sicherungsverfahren eingesetzt werden. Hierdurch erhöht sich jedoch unter Umständen der Aufwand für die Wiederherstellung einer Datensicherung.

Die Datensicherung sollte möglichst automatisiert ablaufen, sodass die Telearbeiter nur wenige Aktionen selbst durchführen müssen. Wenn die Mitarbeit der Benutzer erforderlich ist, sollten sie dazu verpflichtet werden, die Datensicherung regelmäßig durchzuführen. Schließlich sollte sporadisch geprüft werden, ob angelegte Datensicherungen wiederhergestellt werden können.

Aufbewahrung der Backup-Datenträger

Falls Datensicherungen am Telearbeitsplatz durchgeführt werden, müssen Backup-Datenträger dort verschlossen aufbewahrt werden. Es ist sicherzustellen, dass nur der Telearbeiter und sein Vertreter darauf zugreifen können.

Jeweils eine Generation der Backup-Datenträger sollte jedoch in der Institution aufbewahrt werden, damit im Katastrophenfall der Vertreter auf die Backup-Datenträger zugreifen kann.

OPS.1.2.4.M5 Sensibilisierung und Schulung der Telearbeiter [Vorgesetzte, Leiter IT]

Anhand eines Merkzettels für Telearbeit müssen die Telearbeiter in die entsprechenden Sicherheitsmaßnahmen der Institution eingewiesen werden. Dabei sind insbesondere folgende Punkte zu berücksichtigen:

  • Dienstliche Unterlagen müssen am Telearbeitsplatz sicher aufbewahrt werden, also zum Beispiel in Schränke weggeschlossen werden.
  • Fenster und nach außen gehende Türen (Balkone, Terrassen) sind abzuschließen, wenn der Telearbeitsplatz verlassen wird.
  • Strukturelle und sicherheitsrelevante Änderungen an der Telearbeitsplatz-IT dürfen nur durch die Administratoren der Institution vorgenommen werden.
  • Der Telearbeitsrechner darf nur über den dafür vorgesehenen Anschluss an öffentliche Kommunikationsnetze angebunden sein.
  • Beim Datenaustausch mittels Datenträgern zwischen IT-Systemen der Institution und dem Arbeitsplatz-PC am Telearbeitsplatz dürfen nur die von der Institution beschafften Datenträger benutzt werden. Datenträger sollten nur verschlüsselt transportiert werden. Dienstliche und private IT-Systeme oder Datenträger sollten sorgfältig getrennt bleiben.
  • Der unbefugte Zugriff auf die IT der Telearbeiter ist durch Zugriffssperren zu verhindern, zum Beispiel Boot- und Bildschirm-Sperren. Passwörter sind generell geheim zu halten.

Darüber hinaus sind die Telearbeiter soweit im Umgang mit den Telearbeitsrechnern zu schulen, dass sie einfache Fehlerkorrekturen (zum Beispiel Druckerpatrone wechseln) vornehmen beziehungsweise einfache Probleme selbstständig beheben können.

Für das geordnete und strukturierte Vorgehen bei sicherheitstechnischen Einweisungen der Telearbeiter sollten auch die Anforderungen des Bausteins ORP.3 Sensibilisierung und Schulung zur Informationssicherheit beachtet werden.

2.2 Standard-Maßnahmen

Gemeinsam mit den Basis-Maßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich "Telearbeit".

OPS.1.2.4.M6 Erstellen eines Sicherheitskonzeptes für Telearbeit [Vorgesetzte, Leiter Organisation, Leiter IT]

Es sollte ein Sicherheitskonzept für Telearbeit erstellt werden, in dem die Sicherheitsziele, der Schutzbedarf der bei der Telearbeit zu bearbeitenden Informationen sowie die Risiken und Sicherheitsmaßnahmen aufgezeigt werden.

Bei der Telearbeit werden Informationen meist außerhalb der geschützten Betriebsumgebung verarbeitet. Daher ist im Vorfeld eine Schutzbedarfsfeststellung der betroffenen Informationen, Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume (vor allem der Telearbeitsplätze) bezüglich Vertraulichkeit, Integrität und Verfügbarkeit durchzuführen. Aus dem Schutzbedarf der zu bearbeitenden Daten am Telearbeitsplatz leiten sich die Sicherheitsziele und damit die sicherheitstechnischen Anforderungen an die Telearbeiter, die Telearbeitsrechner und die Telearbeitsplätze ab.

Neben einem Überblick über die Gefährdungslage und den organisatorischen, infrastrukturellen und personellen Sicherheitsmaßnahmen können Maßnahmen aus folgenden Bereichen sinnvoll sein:

  • Umgang mit Daten und schützenswerten Betriebsmitteln wie Dokumenten und Speichermedien, insbesondere Regelungen zum Anfertigen von Kopien und zum Löschen beziehungsweise Vernichten von Datenträgern,
  • Absicherung der Kommunikation (zum Beispiel durch Verschlüsselung, elektronische Signatur) zwischen Institution und Telearbeitsplatz,
  • Authentisierungsmechanismen,
  • Regelungen für weitere Netzanbindungen,
  • Regelungen für den Datenaustausch,
  • Datensicherung.

Zur Ausgestaltung der Telearbeit sind zusätzlich diverse Gesetze und Vorschriften zu beachten (siehe OPS.1.2.4.M1 Regelungen für Telearbeit).

Die Anforderungen, Ziele und die zu ergreifenden Maßnahmen zur Sicherheit bei Telearbeit sind zu dokumentieren. Das Sicherheitskonzept zur Telearbeit ist mit dem übergreifenden Sicherheitskonzept der Institution abzustimmen und zu harmonisieren. Außerdem muss es regelmäßig aktualisiert werden und ist an Änderungen in der Institution oder der Technik anzupassen.

Die von den Telearbeitern umzusetzenden Sicherheitsmaßnahmen sind in einer Sicherheitsrichtlinie zur Telearbeit zielgruppengerecht zusammenzufassen.

OPS.1.2.4.M7 Geregelte Nutzung der Kommunikationsmöglichkeiten bei Telearbeit [Telearbeiter, IT-Betrieb]

Für die Telearbeit werden typischerweise verschiedene Kommunikationsmöglichkeiten, wie Telefon-, Fax- und Internet-Anbindung, aber auch Postaustausch sowie Akten- und Datenträgertransport benötigt.

Es muss geregelt werden, auf welche Weise die vorhandenen Kommunikationsmöglichkeiten genutzt werden dürfen. Auch der Postaustausch sowie der Akten- und Datenträger-Transport zwischen Institution und Telearbeitsplatz müssen dabei betrachtet werden. Ebenso sollte die private Benutzung der Kommunikationsmöglichkeiten klar geregelt werden, z. B. des Internetanschlusses. Alle Regelungen sind schriftlich zu fixieren (siehe OPS.1.2.4.M1 Regelungen für Telearbeit) und den Telearbeitern auszuhändigen.

Zu klären sind dabei zumindest folgende Punkte:

Datenflusskontrolle

Der Austausch von Informationen zwischen dem Telearbeitsplatz und der Institution muss so geregelt sein, dass die Sicherheit der Informationen gewährleistet ist.

  • Welche Dienste dürfen zum Informationsaustausch und zur Datenübertragung genutzt werden?
  • Welche Informationen dürfen dabei an wen weitergegeben werden?
  • Welche Dienste dürfen explizit nicht genutzt werden?
  • Welcher Schriftverkehr darf über E-Mail abgewickelt werden? Ist eine Unterschriftenregelung für die Kommunikation vorgesehen?
  • Welche Authentisierungsverfahren werden für den Schriftverkehr und für den Datenaustausch genutzt?
  • Werden digitale Signaturen eingesetzt?

ZugriffsberechtigungenMuss der Telearbeiter auf die IT der Institution (zum Beispiel auf einen Server) zugreifen können, sollte zuvor festgelegt werden, welche Objekte (zum Beispiel Daten oder IT) er tatsächlich für seine Aufgaben benötigt. Die benötigten Zugangs- und Zugriffsrechte sollten nach den festgelegten Vorgaben der Institution vergeben werden.

Sicherheitsmaßnahmen beim InformationsaustauschDer Informationsaustausch bei der Telearbeit muss angemessen abgesichert werden. Vertrauliche Informationen müssen sicher transportiert werden. Dazu sind mindestens folgende Fragen zu beantworten:

  • Für welche Datenträger soll welche Versandart eingesetzt werden (zum Beispiel Kurierdienst)? Welche Art der Transportsicherung ist angemessen (zum Beispiel Umschläge mit Sicherheitsetiketten)?
  • Für welche Daten sollen welche Verschlüsselungsverfahren eingesetzt werden? Daten sollten bei der Datenübertragung und auf Datenträgern möglichst immer verschlüsselt werden, damit Transportverluste höchstens deren Verfügbarkeit und nicht deren Vertraulichkeit gefährden.
  • Werden von zu übertragenden Daten, die nur zum Zweck der Datenübertragung erstellt beziehungsweise zusammengestellt worden sind, Sicherungskopien vorgehalten?
  • Für welche Daten ist eine Löschung nach erfolgreicher Übertragung notwendig? Das kann beispielsweise für personenbezogene Daten gelten.
  • Von welchen Daten soll trotz der erfolgreichen Übertragung eine Kopie der Daten auf dem Telearbeitsrechner verbleiben?
  • Wird vor Versand und nach Erhalt von Daten ein Malware-Check der Daten durchgeführt?
  • Für welche Datenübertragungen sollte eine Protokollierung erfolgen? Falls eine automatische Protokollierung von Datenübertragungen nicht möglich sein sollte, ist festzulegen, ob und in welchem Umfang eine handschriftliche Protokollierung vorzusehen ist.

Internet-NutzungEs ist zu regeln, ob über den Telearbeitsrechner Internet-Dienste genutzt werden dürfen. Dabei ist auch zu klären, ob eine private Nutzung erlaubt wird. Dabei zu klärende Fragen:

  • Wird die Nutzung von Internet-Diensten generell verboten?
  • Welche Internet-Dienste dürfen genutzt werden?
  • Dürfen Daten aus dem Internet geladen werden? Bei Daten von fremden Servern besteht die Gefahr, dass sie Schadsoftware enthalten.
  • Welche Rahmenbedingungen und technischen Sicherheitsmaßnahmen müssen bei der Internet-Nutzung beachtet werden? Welche Sicherheitsmechanismen sollen beispielsweise im Browser aktiviert werden?
  • Dürfen sich Telearbeiter am Informationsaustausch über Internet-Plattformen, Newsgruppen, Blogs oder Ähnlichem beteiligen? Ist hierfür ein Pseudonym erforderlich?

OPS.1.2.4.M8 Informationsfluss zwischen Telearbeiter und Institution [Vorgesetzte, Telearbeiter]

Damit Telearbeiter nicht vom betrieblichen Geschehen ausgeschlossen werden, muss ein regelmäßiger Informationsaustausch zwischen den Telearbeitern und den Arbeitskollegen der Institution erfolgen. Hierfür sind sowohl die Vorgesetzten, als auch die Telearbeiter selber verantwortlich. Die jeweiligen Vorgesetzten müssen sicherstellen, dass die Telearbeiter alle notwendigen Informationen für ihre Arbeitsbereiche erhalten. Die Telearbeiter müssen jedoch auch selbstständig nach Informationen und Neuigkeiten fragen. Der regelmäßige Informationsaustausch ist wichtig, damit die Telearbeiter über Planungen und Zielsetzungen in ihrem Arbeitsbereich informiert sind.

Die Telearbeiter sollten an den Umlaufverfahren für Hausmitteilungen, einschlägige Informationen und Zeitschriften beteiligt werden. Dies stellt ein Problem dar, wenn Telearbeiter ausschließlich zu Hause arbeiten. Eine Lösungsmöglichkeit ist, wichtige Schriftstücke einzuscannen, um sie den Telearbeitern per E-Mail zuzustellen. Die Telearbeiter müssen auf jeden Fall zeitnah über geänderte Sicherheitsmaßnahmen und andere sicherheitsrelevante Aspekte unterrichtet werden.

Die Arbeitskollegen in der Institution müssen über die Anwesenheits- und Erreichbarkeitszeiten der Telearbeiter in Kenntnis gesetzt werden. Die entsprechenden E-Mail-Adressen und Telefonnummern sollten allen Kollegen bekannt sein. Außerdem sollte eine Anrufweiterleitung vom Telefonanschluss des Mitarbeiters in der Institution zum Telefon am Telearbeitsplatz eingerichtet werden.

Folgende Punkte müssen darüber hinaus bei der Telearbeit geklärt werden:

  • Wer ist Ansprechpartner bei technischen und/oder organisatorischen Problemen bei der Telearbeit?
  • Wem müssen Sicherheitsvorkommnisse mitgeteilt werden?
  • Wie erfolgt die Aufgabenzuteilung?
  • Wie erfolgt die Übergabe der Arbeitsergebnisse?

Treten technisch-organisatorische Probleme auf, müssen diese vom Telearbeiter unverzüglich der Institution gemeldet werden.

OPS.1.2.4.M9 Betreuungs- und Wartungskonzept für Telearbeitsplätze [Telearbeiter, Leiter IT, IT-Betrieb]

Für Telearbeitsplätze sollte ein spezielles Betreuungs- und Wartungskonzept erstellt werden, das folgende Punkte vorsieht:

  • Benennen von Ansprechpartnern für den Benutzerservice: An diese Stelle können sich Telearbeiter bei Software- und Hardware-Problemen wenden. Der Benutzerservice versucht (auch telefonisch) kurzfristig Hilfe zu leisten beziehungsweise leitet Wartungs- und Reparaturarbeiten ein. Dazu sollte dem Benutzerservice die Konfiguration der Telearbeitsrechner bekannt sein.
  • Wartungstermine: Die Termine für Wartungsarbeiten an den Telearbeitsgeräten sollten frühzeitig bekannt gegeben werden, damit die Telearbeiter zu diesen Zeiten den Wartungstechnikern Zutritt zum Telearbeitsplatz oder den Zugriff auf Telearbeitsrechner gewähren oder zu wartende IT-Geräte in die Institution bringen können.
  • Einführung von Standard-Telearbeitsrechnern: Die IT-Ausstattung aller Telearbeiter einer Institution sollte standardisiert sein, damit der Benutzerservice schnell bei Problemen helfen kann. Auch wird dadurch der konzeptionelle und administrative Aufwand für den Aufbau eines sicheren Telearbeitsrechners vermindert.
  • Fernwartung: Falls der Telearbeitsrechner über Fernwartung administriert und gewartet werden kann, sind die notwendigen Sicherheitsmaßnahmen zu klären. Außerdem ist mit den betroffenen Telearbeitern der Zeitpunkt für einen Online-Zugriff zur Wartung zu vereinbaren. Damit der Fernwartungszugang nicht missbraucht werden kann, müssen angemessene Sicherungsverfahren festgelegt werden.
  • Transport der IT: Es sollte aus Gründen der Haftung festgelegt werden, wer autorisiert ist, IT-Geräte und andere Ausstattung für die Telearbeitsplätze zwischen der Institution und den Telearbeitsplätzen zu transportieren. Dabei muss auch der Schutz der Geräte beachtet werden. Ein Laptop kann beispielsweise vom Telearbeiter persönlich transportiert werden, sollte aber mit einer Diebstahlsicherung versehen sein. Die Informationen sollten verschlüsselt sein.

OPS.1.2.4.M10 Durchführung einer Anforderungsanalyse für den Telearbeitsplatz [Leiter IT, IT-Betrieb]

Bevor ein Telearbeitsplatz eingerichtet wird, sollte eine Anforderungsanalyse durchgeführt werden. Sinn dieser Anforderungsanalyse ist es, alle infrage kommenden Einsatzszenarien zu bestimmen, um daraus die benötigten Hard- und Software-Komponenten abzuleiten. Die Ergebnisse einer solchen Anforderungsanalyse müssen dokumentiert und mit den IT-Verantwortlichen abgestimmt werden.

Im Rahmen dieser Anforderungsanalyse sind unter anderem folgende Fragen zu klären:

  • Bis zu welchem Vertraulichkeitsanspruch dürfen Daten am Telearbeitsplatz bearbeitet werden?
  • Zu welchem Zweck wird der Zugang zur Institution genutzt (Abfragen von Informationen, Einstellen von Informationen, Programmnutzung)?
  • Wie hoch ist der Datenverkehr zwischen dem Telearbeitsplatz und der Institution?
  • Muss der Telearbeiter auf das Intranet der Institution zugreifen? Wenn ja, muss er auf das gesamte Intranet, das heißt auf alle dort verfügbaren Daten und Dienste oder nur auf Teilbereiche des Intranets zugreifen können?
  • Ist für die Telearbeiter die Nutzung des Internets vorgesehen? Wenn ja, bekommt der Telearbeiter einen eigenen Internet-Zugang oder wird dieser Zugang über das Intranet der Institution realisiert?

Je nach Vertraulichkeit der Daten kann es erforderlich sein, bestimmte Übertragungswege von der Institution zum Telearbeitsplatz festzulegen. Dabei kann es sinnvoll sein, einzelne Übertragungswege auszuschließen oder Mindestanforderungen dafür festzulegen. Beispielsweise könnte es vorgeschrieben sein, Papierdokumente mit vertraulichen Informationen nur auf direktem Weg von der Institution zum Telearbeitsplatz in verschlossenen Transportbehältern zu transportieren. Ebenso könnten für verschiedene Vertraulichkeitsgrade unterschiedliche Verschlüsselungsverfahren für die Datenübertragung vorgesehen sein.

Ähnliche Überlegungen sollten angestellt werden, wenn die im Rahmen der Telearbeit zu verarbeitenden Informationen besonders vor Manipulation geschützt werden müssen.

2.3 Maßnahmen für erhöhten Schutzbedarf

Im Folgenden sind Maßnahmenvorschläge aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und bei erhöhtem Schutzbedarf in Betracht gezogen werden sollten. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Maßnahme vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

3 Weiterführende Informationen

3.1 Wissenswertes

Hier werden ergänzende Informationen aufgeführt, die im Rahmen der Maßnahmen keinen Platz finden, aber dennoch beachtenswert sind. Derzeit liegen für diesen Baustein keine entsprechenden Informationen vor. Sachdienliche Hinweise nimmt die IT-Grundschutz-Hotline gerne unter grundschutz@bsi.bund.de entgegen.

3.2 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Telearbeit" finden sich unter anderem in folgenden Veröffentlichungen:

  • [27001A6.2.1] ISO/ IEC 27001: 2013 - Annex A.6.2.1 Mobile device policy

    Information technology- Security techniques- Information security management system - Requirements, insbesondere Annex A, A.6.2.1 Mobile device policy, ISO, 2013

  • [NIST80046] NIST Special Publication 800-46 Revision 2

    Guide to Enterprise Telework, Remote Access and Bring Your Own Device (BYOD) Security, NIST, 07.2016
    http://dx.doi.org/10.6028/NIST.SP.800-46r2

  • [NISTPA2] Area PA2 Mobile Computing

    insbesondere Area PA2 Mobile Computing, Information Security Forum (ISF), 06.2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK